Данные Apple ID можно украсть с помощью любой программы

Один из разработчиков iOS обнаружил, что регистрационные данные учетной записи Apple ID, оказывается, очень легко похитить. Точнее, вынудить пользователя самого ввести их в «поддельное» (фишинговое) окно. Потенциально, это можно сделать с помощью любого приложения, пользуясь невнимательностью пользователя.
Григорий Матюхин

Как работает уязвимость?

Слева «официальное» окно ввода данных, справа - поддельное. Скриншот: FELIX KRAUSE
Слева «официальное» окно ввода данных, справа - поддельное. Скриншот: FELIX KRAUSE

Эксперт объясняет, что с помощью средств разработки iOS очень просто имитировать «официальную» форму для ввода логина и пароля Apple ID. Причем приложение может «отправить» это всплывающее окно в любой момент, чтобы попросить пользователя ввести логин и пароль Apple. Код всплывающего окна состоит из менее чем 30 строк и, по-видимому, может быть внедрен в любое приложение для iOS и таким образом миновать любые проверки App Store.

Фишинг теперь и на iOS

Слева «официальное» окно ввода данных, справа - поддельное. Скриншот: FELIX KRAUSE
Слева «официальное» окно ввода данных, справа - поддельное. Скриншот: FELIX KRAUSE

Разработчик, обнаруживший уязвимость, не стал публиковать строки кода, вызывающего всплывающее окно, однако указал, что любой разработчик iOS сможет быстро написать свой собственный код для фишинга. В течение многих лет фишинг остается одной из самых больших проблем для настольных браузеров: мошеннические сайты показывают пользователю поддельные всплывающие окна, которые почти идентичны обычным системным уведомлениям. Теперь эта проблема коснулась и iOS.

«Apple ID — наиболее желанная со стороны киберпреступников вещь»

Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского», рассказал, что использование диалоговых окон для кражи Apple ID — самый очевидный и действенный способ. Дело в том, что кража Apple ID может привести к полной блокировке устройства и попытке вымогания денег у жертвы.

В целом Apple ID — наиболее желанная со стороны киберпреступников вещь, которую можно тем или иным способом вытянуть из владельцев яблочных девайсов.

И именно этот вектор атак является самым массовым, развивающимся и перспективным на сегодняшний день, говорит эксперт.

Как защититься?

  • Нажмите кнопку «Домой» и посмотрите, закрывается ли приложение. Если оно закрылось — значит, это была фишинг-атака. Если диалог и приложение не реагируют на нажатие кнопки, то это системный диалог. Это связано с особенностью работы iOS.
  • Не вводите свои учетные данные во всплывающее окно, вместо этого закройте его и откройте приложение «Настройки» вручную.
  • Если вы нажмете кнопку «Отмена» в диалоговом окне, приложение все равно получит доступ к содержимому поля пароля. Даже после ввода первых символов приложение, вероятно, уже будет знать ваш пароль, поскольку он сохраняется в памяти.